Što je napad Čovjeka u sredini i kako da ga izbjegnem?

Čovjek u napadu na SrednjemNapadi Čovjeka u sredini (MitM) trajali su od zore vremena. Princip je jednostavan - negativac se ubacuje u sredinu razgovora između dvije strane i prenosi poruke jedne druge, a da nijedna strana nije svjesna treće osobe. U internetskom kontekstu, to znači da srednja strana može čitati sve što je poslala bilo koja od stranaka i također to promijeniti.

Kako djeluje napad Čovjeka u Srednjem?

U dane se fraza odnosila na bukvalnu osobu u sredini. General Bob će na konju poslati svog glasnika kako bi rekao pukovniku Alice da napadne lijevi bok. Lady Mallory, zli (wo) čovjek u sredini, zamijenio bi tog glasnika i ukrao poruku. Zatim bi promijenila poruku pukovniku Alice da je uputi da se povuče i pošalji odgovor generalu Bobu priznajući originalne bočne naredbe. Ubrzo nakon toga, general Bob gubi rat u zadivljujućem taktičkom sramoti jer je njegov lijevi bok bio potpuno nezaštićen.

Internet MitM napadi poprimaju isti oblik. Uobičajeni napad MitM-a je da Mallory postavi lažnu bežičnu pristupnu točku na javnom mjestu; na primjer kafić. Lažnoj pristupnoj točki daje legitimno zvučno ime kao što je „coffeeshop-kupac-besplatan wifi“ i prije nego što se dugo klijenti počnu povezivati ​​na tu pristupnu točku, umjesto legitimne. U tom trenutku, Mallory se umetnula u protok podataka između vašeg uređaja i interneta uopšte i može privući sav vaš promet. Ako ne upotrebljavate šifriranje, to također znači da Mallory sada može čitati sav vaš promet i potencijalno ga mijenjati.

Mogući su ishodi tog presretanja:

Otmica sjednica: Razmotrite slučaj u kojem za slanje e-pošte koristite web poštu. Kad ste se prijavili na svoju web poštu, Mallory je uzela kopiju vašeg kolačića za provjeru autentičnosti kada je poslana vašem pregledniku, a sada može koristiti taj kolačić i za pristup vašoj web-pošti..

Napomena: U prethodnim sam člancima opisao kako web stvarno funkcionira, nasuprot tome kako nam kažu da djeluje. Ne prijavljujemo se na web stranice. Umjesto toga, naš preglednik zahtijeva web mjesto koje se zatim šalje na naše lokalno računalo. Tada unosimo svoje vjerodajnice za prijavu koje se šalju poslužitelju web stranice. Ako su vjerodajnice točne, web stranica će odgovoriti na nekakav način provjere autentičnosti, obično kolačićem. Kad podnesemo daljnje zahtjeve sa svog računala, taj kolačić šalje se zajedno s tim zahtjevima kako bi web stranica znala tko smo i ne tjera nas da se prijavljujemo svaki put kad želimo prijeći na drugu stranicu. Taj je kolačić osjetljiv znak i vrijedan je ako ga ukrade.

Ponovni napad: Mallory može izvesti ponovni napad. Budući da posjeduje sve vaše podatke, moguće je 'ponoviti' nešto što ste učinili. Na primjer, ako ste prijatelju prijatelju prenijeli 100 runescape kredita, ponovno slanje paketa koji su sačinjavali taj izvorni prijenos može uzrokovati drugi prijenos i sada vam je 200 kredita.

Izmijenjeni sadržaj: Povratak na primjer web-pošte, možda dajete upute svom odvjetniku da uskrati sredstva nedavne pravne transakcije. Budući da Mallory ima sve pakete koji sadrže tu e-poštu, ona može promijeniti riječ "odbiti" u "pustiti" i uzrokovati svakojake zbrke. Ovo je popularna vrsta MitM napada koju smo vidjeli kako se koristi u dodacima napada Kodi Media Center, a ujedno je i izmišljeni napad Mallory koji se koristio za obore generala Boba.

Nedostaje sadržaj: Druga varijanta izmijenjenog sadržaja je da se on naprosto potpuno nestane. Možda čekate neki signal da nešto učinite. Mallory se može pobrinuti da nikad ne stigne.

Koje zaštite postoje kako bi se spriječio napad na čovjeka u Srednjem?

Unatoč beskrajnim načinima na koji se ovi napadi mogu odigrati, doista se samo nekoliko stvari iskorištava iznova i iznova. Da bi se zaštitili od MitM napada, mora postojati:

Neosporavanje: Poruka je stigla od osobe ili uređaja za koje kaže da je došla.

Integritet poruke: Poruka nije izmijenjena otkako je prešla kontrolu nad pošiljateljem

Imajte na umu da se riječ "poruka" generički koristi kako bi se odnosila na mnoge pojmove kao što su cjelovita e-pošta ili paketi podataka niži u nizu. Primjenjuju se isti koncepti bez obzira na vrstu podataka.

Načini na koje možete izbjeći da postanete žrtva napada na MitM uključuju:

Koristite HTTPS kad god je to moguće

HTTPS natpis

Ako HTTPS vidi u adresnoj traci preglednika, osigurava da je vaša veza s web stranicom šifrirana. To ne znači da biste trebali vjerovati toj web lokaciji više nego bilo kojoj drugoj, to samo znači da su vaši podaci šifrirani dok putuju između vašeg uređaja i web lokacije. Zlonamjerne web stranice mogu igrati ulogu u postavljanju na MitM napad, stoga se isplati biti oprezan prema svakoj web stranici koju posjetite kako biste bili sigurni da je započeti s.

HTTPS koristi sigurnost transportnog sloja (TLS).

Napomena: TLS se gotovo univerzalno pogrešno naziva SSL (Secure Sockets Layer). SSL je prethodnik TLS-a, ali izgleda da se njegovo ime zaglavilo.

TLS i HTTP zajedno rade na stvaranju HTTPS-a koji osigurava šifriranje i nepotvrđivanje. Kad se vaš preglednik prvi put spoji na HTTPS web mjesto, pregovara s poslužiteljem. Tijekom tog postupka preglednik ispituje certifikat poslužitelja kako bi potvrdio da se povezuje na web mjesto koje misli (nepotvrđivanje) i također generira ključeve šifriranja sesije. Ti se ključevi koriste tijekom naredne sesije za šifriranje podataka što zauzvrat osigurava integritet poruke.

Da bi Mallory uspješno izmijenila podatke koji se s poslužitelja šalju vama, morala bi posjedovati i ključeve preglednika i sesije poslužitelja, a nijedna se ne prenosi. To znači da bi morala imati kontrolu i nad klijentom i nad poslužiteljem, a da je to slučaj, prvo ne bi bilo potrebno instalirati MitM napad.

Postoje dodatci za preglednike koji će prisiliti vaš preglednik da upotrebljava HTTPS kad god je dostupan na web lokaciji. Budući da mnoge web lokacije podržavaju HTTPS, ali nisu nužno konfigurirane da prisiljavaju preglednike da ga koriste, dodaci poput ove mogu puno pomoći.

Koristite preglednik koji podržava prikvačivanje javnih ključeva

Neki napadi MitM-a mogu biti vrlo složeni. Budući da velika količina zaštite proizlazi iz TLS-a i enkripcije, a pošto je šifriranje teško slomiti, napredni napadači mogu lakše oponašati web mjesto. Na primjer, TLS certifikatima vjeruju preglednici jer ih potpisuju tijela za potvrde (CA) u koje preglednik vjeruje. Ako Mallory uspješno kompromitira CA, ona može izdati važeće certifikate za bilo koju domenu kojoj vjeruju web preglednici. Jednom kada Mallory može uspješno osavremeniti legitimnu web stranicu, jedini preostali izazov je privući korisnike da posjete tu web lokaciju pomoću standardnih phishing tehnika.

To je bio slučaj u 2011. godini, kada je nizozemski CA DigiNotar ugrožen i stvoreni su certifikati kako bi zaveli veći broj iranskih korisnika Gmaila da se odreknu svojih Google korisničkih imena i lozinki.

HTTP prikvačivanje javnih ključeva (HPKP) metoda je kojom vlasnici web stranica mogu obavijestiti preglednike koji će javni ključevi web mjesta koristiti. Ako preglednik posjeti to web mjesto i na njemu se pojavi neki drugi javni ključ koji nije na popisu, to je pokazatelj da web lokacija ili barem TLS certifikat nije valjan.

Prikvačivanje mora obaviti vlasnik poslužitelja, ali možete se zaštititi kao korisnik korištenjem preglednika koji podržava obnavljanje javnih ključeva. Od ovog datuma to podržavaju Firefox (verzija 32), Chrome (verzija 56) i Opera (33); Internet Explorer i Edge to ne čine. Firefox ima postavku o: config imenovanoj security.cert_pinning.enforcement_level; 1 koja vam omogućuje onemogućavanje HPKP-a, ali zašto biste to učinili? Ako želite testirati podržava li vaš preglednik HKPK, posjetite ovaj testni URL HPKP-a. Predstavlja HPKP zaglavlja i nevažeći javni ključ. Ako vaš preglednik podržava HPKP, prikazat će poruku pogreške.

Koristite virtualnu privatnu mrežu (VPN)

VPN mozaik

VPN stvara šifrirani tunel između vašeg uređaja i VPN poslužitelja. Sav vaš promet prolazi kroz ovaj tunel. To znači da čak i ako ste prisiljeni na upotrebu web lokacije koja nije HTTPS ili čak ako ste se naveli na upotrebu zlonamjerne WiFi pristupne točke, još uvijek održavate određenu razinu zaštite od MitM-a.

Razmislite, pitanje WiFi pristupne točke. Ako ste povezani s Mallory-ovom lažnom pristupnom točkom, Mallory će moći vidjeti sav vaš promet. No, budući da je sav vaš promet šifriran prilikom korištenja VPN-a, sve što dobiva je hrpa nečitljivih kriptiranih mrlja koje pružaju vrlo malo podataka. Korištenje VPN-a cijelo je vrijeme dobra ideja, ali korištenje njega u skromnim situacijama kao što je javni wifi je obavezno.

Koristite preglednik koji podržava HTTP strogu sigurnost prijevoza (HSTS)

HTTPS je vrlo dobar korak ka sprečavanju MitM napada na webu, ali postoji i potencijalna slabost. Kako bi vlasnik web stranice prisilio posjetitelje da koriste HTTPS, postoje dvije mogućnosti. Prvi je jednostavno isključivanje nekodiranog HTTP porta 80 u potpunosti. To znači da ljudi koji pokušaju doći na web mjesto koristeći http: // neće dobiti ništa, a stranica će tek isteći. Većina vlasnika web stranica ne želi da njihovi posjetitelji imaju ovo negativno iskustvo, pa umjesto toga ostavljaju port 80 otvoren, ali ga koriste samo za slanje koda za preusmjeravanje HTTP 301 kojim preglednicima poručuje da idu na https: //.

U praksi to dobro funkcionira, ali postoji prilika da napadač izvrši Downgrade Attack tijekom tog preusmjeravanja. Napad prema dolje može prisiliti web poslužitelj na korištenje slabijih kriptografskih šifri što olakšava naknadni MitM napad. Web stranice koje koriste HSTS šalju zaglavlja pregledniku tijekom prvog povezivanja koje usmjeravaju preglednik da koristi HTTPS. Zatim preglednik prekida postojeću sesiju i ponovno se povezuje pomoću HTTPS. Iako se ovo može činiti kao mala razlika, uvelike smanjuje vektor napada standardnog HTTP-a na HTTPS preusmjeravanje. Gotovo svi moderni preglednici podržavaju HSTS, ali na tržištu postoji puno preglednika, pa se isplati potvrditi da ga vaš specifični preglednik podržava.

Nelegantni napadi MitM-a

Također je vrijedno napomenuti da su neki napadi MitM-a prilično neelegantni i osnovni. Na primjer, bez puno tehničke stručnosti, Mallory je mogao postaviti dvije adrese e-pošte koje se usko podudaraju s Alice i Bobom, a zatim započeti razgovor s jednom od njih, smatrajući se drugom. Budući da mnogi klijenti e-pošte prikazuju samo imena adresa, a ne svoju adresu e-pošte, ovo pogrešno funkcionira češće nego što bi trebalo. Tada će Mallory moći upravljati s oba polja za e-poštu i ostati u sredini razgovora neograničeno.

Najbolja obrana protiv ove vrste napada MitM-a je budnost. Potražite znakove reklama poput neuobičajenog jezika i pokažite pokazivač iznad e-adrese pošiljatelja da biste bili sigurni da je zakonita.

Primjeri poznatih MitM napada

Već sam se dotaknuo MitM wifi-ja i ponovio napade, ali gotovo da nema ograničenja u tome kako se opće MitM tehnike mogu koristiti kao napad. Svaki proces u kojem dvije ili više strana komuniciraju (spoiler: to je sve) ima prave stvari za negativca koji može ubrizgati u sredinu.

ARP Otrovanje: Protokol razlučivosti adrese je neprekinuti heroj IP mreže koji osigurava da paketi stignu na točno mrežnu karticu kojoj su namijenjeni. Jednom kada paket uđe u odredišni LAN, mora znati Media Access Control (MAC) adresu mrežne kartice kojoj je namijenjen. To postiže ARP-zahtjev koji postavlja svako računalo u lokalnoj mreži "ko ima" odredišnu IP adresu paketa. Teoretski, mrežna kartica dodijeljena toj IP adresi odgovara svojom MAC adresom i paket se isporučuje. U praksi ne postoji autentifikacija ugrađena u ARP protokol kako bi Mallory mogla odgovoriti da posjeduje taj IP i promet će joj se dostaviti. Da bi ovaj napad bio vjeran MitM, ona će također morati osigurati da se paket proslijedi na njegovu ispravnu MAC adresu..

Krađa luka: Ovo je napredni napad koji se može koristiti na većim mrežama koje koriste mrežne sklopke. Prekidači sadrže tablicu s memorijom koja se može adresirati (CAM) koja bilježi odnose između MAC adresa mrežnih kartica koje servisira i njihovih odgovarajućih ulaza. Ako nema drugog sigurnosnog postavljanja, CAM tablica se dinamički gradi i obnavlja sa svakim paketom koji sklopka vidi. Napadač može prevariti paket s MAC adresom žrtve i prekidač će zabilježiti tu povezanost. To znači da će sljedeći paketi namijenjeni žrtvi biti poslani napadaču.

MitM napade je vrlo teško otkriti i nema obrane od "srebrnog metka". Uglavnom, ta nesposobnost da se u potpunosti brane od MitM napada proizlazi iz činjenice da gotovo da nema kraja vrstama napada koje loš momak može smisliti. Postupak dobivanja paketa podataka s vašeg računala na poslužitelj negdje na Internetu uključuje mnogo protokola, mnogo aplikacija i mnogih uređaja poput usmjerivača i sklopki, koji svi mogu iskoristiti. Najbolje što možete učiniti je postati „plod visokog visećeg voća“ i poduzeti korake kako bi postalo teže postati žrtvom napada na MitM. Većina napada usmjerena je na veliki broj ljudi kako bi se osigurao najveći potencijal za uspjeh. Koraci u ovom članku trebali bi pružiti dobru obranu, osim ako vas posebno ne cilja protivnik.

Možda će vam se svidjeti i VPNNe razumijevanje VPN evidentiranja i naloga za pretraživanjeVPN70 + uobičajene internetske prevare koje koriste cyber kriminalci i prevarantiVPNKako besplatno uklanjati špijunski softver i koji alati za korištenjeVPNGdje su VPN legalni i gdje su zabranjeni?

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

− 1 = 2

Adblock
detector